Dax 2009. SQL не в домене.

[Wamr]

Как подключить АОС к серверу SQL, который установлен вне общего домена?

Или

Можно ли АОС заставить подключаться с SQL авторизацией?

[BOAL]

Исследовали, потом все же домен сделали.
Должно быть:
юзер, под который запущен АОС, должен видеть СКЛ, то есть быть локальным там (со своими там правами).
Такое возможно, если у юзеров будет одинаковый SID
А это нужно хачить спец утилитами.

Но повторю, домен (поддомен) поднять вернее - тем более это требование самой системы, все остальное фичи и хаки.

И то это было верно для АХ4, для Ах2009 не факт

[gl00mie]

Можно попробовать на хосте SQL-сервера завести локального пользователя с таким же логином и паролем, как и доменный пользователь, под которым запускается AOS, и дать этому локальному пользователю права на базу, к которой AOS пытается подключиться.

[BOAL]

Не поможет, то есть это нужно да, но подчеркиваю им нужно сделать одинаковый SID
Тогда может заработать

[gl00mie]

Штатно сделать в двух доменах (или на двух хостах, не входящих в один домен) двух пользователей с одним SID невозможно, но теоретически есть один способ из разряда "через %$пу в рукова": у клиента Remote Access Services (RAS) начиная с WinXP есть такая фишка - автоматическая прозрачная аутентификация под теми учетными данными, которые использованы для подключения к RAS-серверу. Например: есть у нас домен с разными ресурсами и есть домашний комп, который к домену никакого отношения не имеет. Если мы настроим в домене RAS-сервер и настроим VPN-соединение с домашнего компа, указав учетные данные доменного пользователя (в общем случае мы можем указать учетные данные локального пользователя RAS-сервера, к которому подключаемся, но тогда фишка RAS-клиента не сработает), то при попытке получить доступ к доменным ресурсам, требующим виндовой аутентификации, RAS-клиент на домашнем компе будет пытаться прозрачно аутентифицировать нас с использованием учетных данных того (доменного) пользователя, под которым мы подключились к RAS-серверу. Более подробно это описано в теме Как дать доступ к Аксапте внешним пользователям?. Так что теоретически можно на хосте SQL-сервера развести RAS-сервер и подключаться к нему с хоста AOS'а не напрямую, а через RAS, указывая в качестве учетных данных логин/пароль локального пользователя с хоста SQL-сервера, которому даны соотв. права на базу, к которой подключается AOS. Но, во-первых, это дюже обходной путь, во-вторых, подключение через RAS неминуемо приведет к дополнительным накладным расходам в плане сетевого трафика и задежрек.

[BOAL]

Генерация нужного СИДа делалась подменой СИДа самой машины на нужный (тут есть утилиты), а потом созданием юзеров по порядку (до нужного).
СИД - это уникальный номер машины + подномер юзера на ней.

Этот же способ позволяет заходить в АХ с рабочей станции не в домене. Если локальный юзер компа будет с СИДом доменного.

Это обычно не нужно, тк проще в самой АХ поменять СИД на локальный, но тогда будет или локал, или домен. А вот если нужно заходить и так и так, то подмена СИДа выход.

Так что, если с доменом беда, то пробуйте делать юзера АОС и СКЛ с одном именем и СИДом.

[Wamr]

спасибо вам.
Я думал о возможностях установки доверия между хостом и доменом, но ничего не добился.
И игрался с параметрами конфигурации в реестре. В результате connectionstring стала содержать упоминание bmssa, но все-равно использовался SSPI.

[Wamr]

RAS меня как-то напугало, хотя сам постоянно через VPN по такой схеме работаю...
Надо будет опробовать... потом как-нибудь.